近期，安全界傳來(lái)消息，F(xiàn)acebook旗下的安全研究團(tuán)隊(duì)揭露了一個(gè)涉及廣泛應(yīng)用的開源字體渲染庫(kù)FreeType的安全隱患。這一漏洞，編號(hào)為CVE-2025-27363，被評(píng)定為高風(fēng)險(xiǎn)，其威脅級(jí)別達(dá)到了8.1/10分。

FreeType，作為一款將字符柵格化并轉(zhuǎn)化為位圖的開源工具，廣泛應(yīng)用于Android、macOS等操作系統(tǒng)以及眾多游戲引擎中，其重要性不言而喻。

據(jù)詳細(xì)分析，該漏洞存在于FreeType 2.13.0及更早版本中，主要問題在于處理TrueType GX和可變字體文件時(shí)出現(xiàn)的越界寫入錯(cuò)誤。具體而言，代碼中存在將有符號(hào)短整型數(shù)值錯(cuò)誤地賦給無(wú)符號(hào)長(zhǎng)整型變量的情況，這一不當(dāng)轉(zhuǎn)換加上后續(xù)的靜態(tài)值疊加，導(dǎo)致了數(shù)值溢出和堆緩沖區(qū)分配不足。此漏洞使得攻擊者能夠在緩沖區(qū)外寫入最多6個(gè)有符號(hào)長(zhǎng)整型數(shù)值，這一行為極有可能觸發(fā)任意代碼執(zhí)行，進(jìn)而對(duì)系統(tǒng)安全構(gòu)成嚴(yán)重威脅。

值得注意的是，F(xiàn)reeType團(tuán)隊(duì)已在2023年2月9日發(fā)布的2.13.0版本中修復(fù)了這一漏洞。然而，考慮到許多用戶仍在使用舊版操作系統(tǒng)或軟件，且存在黑客可能已經(jīng)利用此漏洞進(jìn)行攻擊的風(fēng)險(xiǎn)，安全形勢(shì)依然嚴(yán)峻。

鑒于上述情況，F(xiàn)acebook強(qiáng)烈建議所有用戶盡快將他們的系統(tǒng)或FreeType庫(kù)更新到最新版本，以有效規(guī)避潛在的安全風(fēng)險(xiǎn)。這一舉措對(duì)于保護(hù)個(gè)人信息安全和維護(hù)系統(tǒng)穩(wěn)定至關(guān)重要。